Производителя на мрежово хранилище (NAS) QNAP
предупреди, че повечето от устройствата
NAS са засегнати от голяма грешка в OpenSSL, разкрита преди няколко седмици.
Нападателите
могат да се възползват от уязвимостта, проследявана като CVE-2022-0778,
за да предизвикат състояние на отказ на услуга и дистанционно да сринат незащитени устройства.
Въпреки, че беше пуснат бъг, когато грешката беше
публично разкрита, QNAP обясни, че клиентите му ще трябва да изчакат, докато
компанията пусне свои собствени актуализации за сигурност.
Също така клиентите бяха призовани да инсталират
всички пачове за сигурност, които се публикуват, за да се предпазят от евентуални атаки
От компанията съобщават, че недостатъкът в
сигурността засяга устройства, работещи с множество версии на QTS, QuTS hero и
QuTScloud, включително:
- QTS 5.0.x and
later
- QTS 4.5.4 and
later
- QTS 4.3.6 and
later
- QTS 4.3.4 and
later
- QTS 4.3.3 and
later
- QTS 4.2.6 and
later
- QuTS hero h5.0.x
and later
- QuTS hero h4.5.4
and later
- QuTScloud c5.0.x
QNAP
работи върху закърпването на дупките в сигурността, наречен Dirty Pipe, което
позволява на участниците в заплахите с локален достъп да получат root
привилегии на устройства, работещи с QTS 5.0.x, QuTScloud c5.0.x и QuTS hero h5
.0.x
След
първоначалното предупреждение от преди две седмици, QNAP поправи грешката Dirty
Pipe за устройства, работещи с QuTS hero h5.0.0.1949 build 20220215 и обеща да
пусне пачове за QTS и QuTScloud възможно най-скоро.
За повече информация:
https://www.bleepingcomputer.com/news/security/qnap-warns-severe-openssl-bug-affects-most-of-its-nas-devices/